Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Historie:
Version 2 (11.04.2014):
SUSE stellt ein Update für den Linux Enterprise Server 11 SP2 LTSS bereit.

Version 1 (29.01.2014):
Neues Advisory

Betroffene Software:

Puppet <= 3.2.3 Betroffene Plattformen: SUSE Linux Enterprise Desktop 11 SP2 SUSE Linux Enterprise Desktop 11 SP3 SUSE Linux Enterprise Server 11 SP2 SUSE Linux Enterprise Server 11 SP2 LTSS SUSE Linux Enterprise Server 11 SP2 VMware SUSE Linux Enterprise Server 11 SP3 SUSE Linux Enterprise Server 11 SP3 VMware Ein nicht authentifizierter, lokaler Angreifer kann die Schwachstelle zur Ausführung beliebiger Ruby-Programme nutzen. Patch: SUSE Security Update: SUSE-SU-2014:0155-1 http://lists.opensuse.org/opensuse-security-announce/2014-01/msg00009.html

Patch:

SUSE Security Update: SUSE-SU-2014:0510-1

http://lists.opensuse.org/opensuse-security-announce/2014-04/msg00009.html

CVE-2013-4761: Ausführung von Programmen mittels Dienst resource_type

Eine Schwachstelle in Puppet kann ein Angreifer mit Zugriff auf das lokale
Dateisystem des Masters ausnutzen, um beliebige Ruby-Programme ausgehend vom
Master über den ‘resource_type service’ auszuführen.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2014-0115/

Schwachstelle CVE-2013-4761 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2013-4761

http://puppetlabs.com/security/cve/cve-2013-4761/:
http://puppetlabs.com/security/cve/cve-2013-4761/

SUSE Security Update: SUSE-SU-2014:0155-1:
http://lists.opensuse.org/opensuse-security-announce/2014-01/msg00009.html

SUSE Security Update: SUSE-SU-2014:0510-1:
http://lists.opensuse.org/opensuse-security-announce/2014-04/msg00009.html

(c) DFN-CERT Services GmbH
Die nicht kommerzielle Weiterverbreitung ist mit Hinweis auf den
Copyrightinhaber erlaubt.